Kennwortschutz der WebUI aktivieren

[Dan.Ka]

Hallo,

weil ich selbst gerade nach dem Installieren von Raspberrymatic darüber gestolpert bin und die Suchfunktion nicht geholfen hat (weil ich wahrscheinlich die falschen Begriffe eingegeben habe), will ich kurz beschreiben, wie man den Kennwortschutz der Weboberfläche aktiviert, damit nicht nicht jeder darauf zugreifen kann.

Phänomen:
Man erreicht trotz Kennwort / Passwort direkt die WebUI Oberfläche.

Symptom:
Obwohl ein Benutzer (z.B. Admin) angelegt und ein Kennwort vergeben wurde, kann man die Weboberfläche ohne Eingabe des Kennworts erreichen. Es reicht, die IP Adresse der Homematic/RaspberryMatic einzugeben und die Weboberfläche erscheint, ohne dass nach einem Kennwort / Passwort gefragt wurde. Man hat automatisch die Zugriffsrechte eines Admin. Die Funktion entspricht einem Autologins.

Lösung:
Das beobachtete Verhalten wird durch die Funktion "Automatisches Anmelden" bewirkt. Möchte man man das System gegen unbefugten Zugriff absichern, sollte man das "Automatische Anmelden" abschalten. Die automatische Anmeldung kann man unter

Einstellungen --> Benutzerverwaltung --> Automatisches Anmelden (ein Knopf ganz unten)

konfigurieren. Dort anstelle von Admin (oder eines anderen Benutzernamens) den Eintrag "nicht gewählt" auswählen. Damit wird der Autologin deaktiviert.

Quelle:
WebUI Handbuch: "Automatische Anmeldung konfigurieren", S. 17

[mani3321]

Ich würde Homematic (zwecks Sicherheit) generell nur bedingt vertrauen…

[alchy]

Problem:
Man erreicht trotz Kennwort / Passwort direkt die WebUI Oberfläche.

Wieso Problem? Ist doch kein Problem oder Bug ist doch nur ein Feature.
Es steht ja auch alles bei der Funktion Automatischen Anmelden / Autologin.

Lesen muss es ein jeder natürlich selber. Autologin gesucht im Forum bringt schon den ein oder anderen Thread.

Alchy

PS: auch das deaktivieren des Autologin und die Vergabe eines sicheren Passworts schützt dich nicht vor Besuchern, wenn du deine CCU im Netz freigibst. Also tu dir selber einen Gefallen und gibt wenigstens eine Mailadresse oder Handynummer in der Benutzerverwaltung an. Dann kriegst du auch irgendwann Post von mir.

[Dan.Ka]

Problem:
Man erreicht trotz Kennwort / Passwort direkt die WebUI Oberfläche.

Wieso Problem? Ist doch kein Problem oder Bug ist doch nur ein Feature.

Ich meinte das eher im Sinn von Beobachtung, Phänomen, etc. Ich habe meinen Originalpost entsprechend geändert.

Es steht ja auch alles bei der Funktion Automatischen Anmelden / Autologin.

Stimmt. Wenn man in diesem Fenster angekommen ist, hat man das "Problem" auch gelöst. Aber erst einmal dorthin kommen. Das hat bei mir gedauert. Mein Posting soll nur helfen, dass andere Benutzer schneller zum Ziel kommen (auch wenn über diese "Problem" bereits an anderer Stelle gepostet wurde).

PS: auch das deaktivieren des Autologin und die Vergabe eines sicheren Passworts schützt dich nicht vor Besuchern, wenn du deine CCU im Netz freigibst. Also tu dir selber einen Gefallen und gibt wenigstens eine Mailadresse oder Handynummer in der Benutzerverwaltung an. Dann kriegst du auch irgendwann Post von mir.

Habe ich gemacht. Abgesehen davon hängt mein CCU nicht im öffentlichen Netz und ist sowieso nur zum Programmieren online gewesen. Apropos "Besucher", gibt es sonst noch Scheunentore, die man schließen könnte/müsste? Beispielsweise einen API Zugang?

[robbi77]

Ähm, ja.
Jede App benutzt das „Scheunentor“.

[MathiasZ]

Ich wüsste schon eine Möglichkeit für ein sicheres Zuhause:
CCU3 oder RaspberryMatic verkaufen, Internet-Anschluß abmelden, Smartphone verkaufen und von der Email umsteigen auf die gute alte Post.
Google home und Alexa braucht eh kein Mensch.
Wenn es jemand auf Dich abgesehen hat, werden einfach Schwachstellen des Routers, des Smarthomes, des Smartphones oder des PC's ausgenutzt. Dazu bedarf es keinen offenen Ports. Sie erleichtern die Sache aber ungemein.